Outlook(新しい Outlook for Windows / Outlook on the web)には、送信後数秒間の猶予を設ける「送信遅延(送信取り消し)」機能があります。
しかし 数秒という時間は、本当に誤送信に気づくには短すぎます。
また、クラシック版 Outlook デスクトップアプリでは、仕分けルールにより送信を一定時間遅延させることができ、実務上は数分〜数時間程度の遅延設定が利用されます。
それはあくまで 個人設定 であり、組織全体には強制できません。
情報漏洩インシデントの多くは「うっかりミス」から始まります。
宛先の自動補完で全く別の取引先を選んでしまった、社外秘の資料をそのまま添付してしまった――そうしたヒューマンエラーを組織として防ぐには、IT管理者が展開できるサーバー側の仕組み が必要です。
本記事では、Microsoft 365 に標準搭載されている以下の機能を活用した「多層防衛」の構築方法を解説します。
第1の防波堤:Outlook 送信遅延ルール(クライアント側)
仕組みと効果
クラシック版 Outlook(デスクトップアプリ)では、「仕分けルール(自動仕分けウィザード)」を使って
「送信ボタンを押してから指定した分数が経過するまでメールを送信トレイに保留する」 ルールを作成できます。
この「熟考タイム」が、うっかりミスの多くを防ぎます。
注意点・制限
| 項目 | 詳細 |
|---|---|
| 適用範囲 | 設定した PC の Outlook でのみ有効 (サーバー側では機能しない) |
| 複数 PC 利用時 | 各 PC ごとに設定が必要 |
| Outlook 未起動時 | 次回 Outlook 起動まで送信されない |
| 送信トレイ内のメールを開いた場合 | 送信トレイ内のメールを開いて編集した場合、遅延ルールが再評価され、送信タイミングが変わることがあります。 |
送信遅延ルールは「個人レベルの安全網」です。組織全体に強制するには次の Exchange 側の設定が必要です。
第2の防波堤:Exchange 管理センター – メールフロールール(サーバー側)
メールフロールールとは
Exchange Online のメールフロールール(トランスポートルール) は、組織内を流れるすべてのメールに対して条件・例外・アクションを定義し、自動処理を行うサーバー側の仕組みです。
個人の PC 設定に依存しないため、管理者が一括適用できる のが最大の特長です。
ルールは「条件(When to apply)」「アクション(What to do)」「例外(Except if)」の3要素で構成されます。
設定
Exchange 管理センター(EAC): https://admin.exchange.microsoft.com
左メニュー → 「メールフロー」→「ルール」
シナリオ 1:社外送信時に件名へ警告タグを自動追加
社外への送信メールの件名に自動で 【社外送信】 タグを付与することで、送信者と受信者の双方が「これは社外宛て」と意識できます。
設定例:
| 項目 | 値 |
|---|---|
| 条件 | 受信者の場所 → 「組織外(Outside the organization)」 |
| アクション | メッセージのプロパティを変更する → 件名の先頭に「【社外送信】」を追加 |
シナリオ 2:社外送信時に管理部門へ BCC で自動通知
情報セキュリティ担当や上長への自動 BCC は、監査・ログ目的に加え、誤送信の早期発見にも役立ちます。
設定例:
| 項目 | 値 |
|---|---|
| 条件 | 受信者の場所 → 「組織外」 |
| アクション | 「Bcc メッセージのコピーを送信する」アクションを使用して、指定した宛先に自動でコピーを送信します。 |
シナリオ 3:特定キーワードを含む社外送信をブロック
「社外秘」「confidential」「マイナンバー」などのキーワードが含まれるメールを社外に送ろうとした場合にブロックし、送信者に通知メッセージを返します。
設定例:
| 項目 | 値 |
|---|---|
| 条件 | 1.受信者の場所 → 「組織外」 かつ 2.件名または本文に「社外秘」を含む |
| アクション | 「メッセージをブロックする」→「送信者に拒否メッセージで通知する」 |
| 拒否メッセージ例 | 「このメールは社外秘情報を含む可能性があるため、送信がブロックされました。内容を確認してください。」 |
ルールの変更は通常数分以内に反映されますが、環境によっては最大30分程度かかる場合があります。
第3の防波堤:Exchange Online 上長承認(モデレーション)ワークフロー
仕組みと特長
最も強力な対策が「モデレーション(上長承認)」です。
社外へのメールを送信しようとすると、メールは即座には届かず「調停メールボックス」に一時保留されます。
指定した上長(モデレーター)が承認して初めて送信される仕組みです。
- モデレーターは複数設定可能ですが、運用上は負荷を考慮して少人数に絞ることが推奨されます
- 承認リクエストは Exchange Online では 2日間有効(未応答の場合、送信者に期限切れ通知)
- 「拒否」の場合は理由コメントを付けて送信者に通知できる
参考: Exchange Online のモデレート済み受信者
参考: Exchange Onlineのメッセージ承認シナリオにメール フロー ルールを使用する
設定
ステップ1:ユーザーの「上司」情報を設定する
Exchange 管理センター(EAC) の 「受信者」→「メールボックス」 で対象ユーザーを選択し、上司のアカウントを指定します。
ステップ2:メールフロールールを作成する
Exchange 管理センター(EAC) → 「メールフロー」→「ルール」→「+ルールの追加」
テンプレートから 「モデレーターにメッセージを送信する」 を選択して以下を設定します。
| 項目 | 値 |
|---|---|
| 条件 | 受信者の場所 → 「組織外(Outside the organization)」 |
| アクション | 「承認のためにメッセージを転送する」→ 「送信者の上司に送信する」 |
ステップ3:動作確認
部下が社外メールを送信 → 上司に承認依頼メールが届く → 上司が「承認」または「拒否(コメント付き)」→ 承認時のみ相手方に送信される
注意点
| 項目 | 詳細 |
|---|---|
| 上司未設定ユーザー | 上司が設定されていない場合、承認先が解決できず、意図しない動作や配信失敗が発生する可能性があります |
| 人事異動 | 異動・退職のたびに上司情報のメンテナンスが必要 |
| 管理負荷 | すべての社外メールが対象だと、モデレーターの負担が非常に大きくなる |
| ToとCcに混在 | 社内宛てはそのまま届き、社外宛てのみ上長承認が発動する |
運用のヒント:
全社員に適用するのではなく、入社間もない社員・異動したばかりの社員・機密情報を扱う部署 などに限定適用することで管理負荷を現実的な範囲に抑えられます。
第4の防波堤:Microsoft Purview DLP – ポリシーヒントによる送信前警告
DLP ポリシーヒントとは
Microsoft Purview データ損失防止(DLP) の「ポリシーヒント」機能は、Outlook でメールを作成中に、定義したポリシーに違反する可能性があると判断した場合、送信ボタンを押す前に 警告メッセージをインラインで表示する機能です。
たとえば、クレジットカード番号やマイナンバーなどの機密情報を社外宛てメールに含めようとすると、「このメールにはポリシー違反の可能性があります」と Outlook 上で通知が表示されます。
必要なライセンス
DLP は Exchange Online プラン 2 または Microsoft 365 Business Premium / E3 / E5 などのサブスクリプションで利用可能なプレミアム機能です。
ライセンスの詳細は Exchange Online ライセンス プランの比較 を参照してください。
注意:
Exchange 管理センターでの DLP ポリシー設定は非推奨となり、現在は Microsoft Purview コンプライアンス ポータル(https://compliance.microsoft.com/) での設定が推奨されています。
DLP でできること
| 対応 | 内容 |
|---|---|
| ポリシーヒント表示 | 送信前に Outlook 上でインライン警告を表示 |
| 送信のブロック | 機密情報を含む社外メールの送信を強制的にブロック |
| 上書き許可 | ユーザーが理由を入力すれば送信できる「警告+上書き」モード |
| 管理者への通知 | ポリシー違反が発生したらセキュリティ担当者にメール通知 |
| 監査レポート | インシデントレポートを Microsoft Purview で確認可能 |
まとめ
下表は、各機能の特性と推奨用途をまとめたものです。
| 機能 | 適用範囲 | 設定者 | 主な効果 | 推奨シーン |
|---|---|---|---|---|
| Outlook 送信遅延ルール | 個人 PC | ユーザー / IT管理者 | 熟考タイムの確保(最大120分) | 個人レベルの安全網として |
| メールフロールール(件名タグ・BCC) | 組織全体 | IT管理者(EAC) | 意識づけ・監査ログ | 全社展開の第一歩 |
| メールフロールール(ブロック) | 組織全体 | IT管理者(EAC) | キーワード含むメールを強制ブロック | 高リスクキーワード対策 |
| 上長承認(モデレーション) | 組織全体 | IT管理者(EAC) | 人の目による二重チェック | 重要部署・新入社員の管理 |
| DLP ポリシーヒント | 組織全体 | IT管理者(Purview) | 送信前の機密情報検知・警告 | 機密情報の体系的な保護 |
最も重要な点は、「どれか一つを入れれば完璧」という発想を捨てること です。
個人向けの送信遅延、組織向けのメールフロールール、ルールベースおよび機密情報タイプ検出によるDLP機能、そして人の目による上長承認――これらを組み合わせることで、うっかりミスによる情報漏洩リスクを大幅に低減できます。
免責事項:Microsoft 365の機能や仕様は変更される可能性がありますので、実施前には最新の公式ドキュメントをご確認ください。
